免杀笔记 ---> CS特性角度看Veh免杀

已于 2024-09-27 16:30:23 修改
阅读量688 收藏 20
点赞数 23
文章标签: CS 免杀 绕AV
于 2024-08-27 17:05:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huohaowen/article/details/141575434
版权

前一段时间在玩WBGlIl大佬以前发的一篇过卡巴的思路(虽然现在不过了),但是在研究的时候发现如果我们我们在没有CS的特性基础下直接看这篇文章,或者说你去魔改他的脚本是不太可能的,刚好就来普及一下这个CS的一些简单特性!(如有说错,请大佬们纠正)

1.Stagless已成标配

为什么说Stagless已成标配呢? 我们分别来准备两个🐎(一个stage 一个stagless)(无C2Profile)

我们分别来用Process Hacker去看看他的内存

如果我们是通过Stage的shellcode上线的话,他会用Stagler去拉取stagless形成反射dll!!! 

这个拉取的行为就是一个特征,所以我们一般都是不会用stage的shellcode而是通过采用Stageless的shellcode去进行上线!!!!

2.CS的命令执行

1.Fork && Run 

还记得我们平时去Shell whoami 吗,其实这是一个极度危险的操作(虽然目前360不会因为你shell whoami 就把你杀了)

我们通过Process Hacker 去看看他的过程(systeminfo)

新开一个cmd,然后通过Pipe在cmd运行这个命令,运行的结果再回传给我们自己的beacon,这个其实也算有点灾难,不过也要看你的进程链了!

2.Execute-Assembly

execute-assembly是CS的大名鼎鼎的内存加载,设计的初心是不想让我们的文件落地,防止静态被扫描,但是它的Fork && Run 却是一个灾难性的行为

它的过程是这样的

  • 先去通过字节流,将.net传到我们的Beacon端
  • 然后起一个程序(这个程序可以通过C2Profile控制)
  • 然后通过反射DLL进行注入,patch完之后调用函数入口点,并且寻找我们刚才传入的shellcode,然后初始化这个程序为托管程序,并且加载我们的shellcode

如果你是一个灰进程,那么你绝对会被报毒,因为这个远程线程注入的行为就很可疑! 

所以,就诞生了Inject-Assembly ,通过在本进程运行(beacon进程),这样就没有了远程线程注入的操作,并且另外一个好处就是我们可以提前进行Patch,或者设置硬件断点,防止Etw的记录,以及Amsi的扫描

3.BOF && Inline-Execute

那么有无办法拯救这只CS呢 ???  有! 就是通过BOF去进行执行 !!

我们把我们的whoami进行BOF化(其实这里白加黑的话直接shell也是不会杀的)

我们也可以通过Inline-execute去执行,和BOF的效果是一样的!!

其实它的原理就是在本程序通过起线程通过WindowsAPI去执行命令(在本程序),这样就不会有太多的对其他的进程进行操作(更加OPSEC) ,当然他的缺点就是如果命令执行奔溃了,那么你的Beacon也会掉,一会用WBG大佬的脚本来演示一下就知道了!!! 

3.VEH免杀脚本的优略

这里的脚本就是直接复制WBG大佬的脚本上线的了!!!

CS上线原理如下 (不配C2 Profile)

不管你是正常跑stageless 还是跑stage 的上线都是可以的,在跑起来ShellCode之后,首先他会去用VirtualAlloc进行内存申请,然后再将反射dll和loader的产物复制到这块内存(真正重要的也是这块内存

那么VEH的免杀原理是什么呢 ??? 大致是这样的

首先对VirtualAlloc,Sleep进行HOOK,当我们要跑shellcode进行VirtualAlloc的时候,VirtualAlloc的第三块地址被我们拿到,然后Sleep的时候我们在自实现的Sleep里面改这个第三块内存为RW,当我们Sleep结束,要跑起来的时候,执行了一块RW内存,抛0xc005VEH异常处理捕获,然后改这块内存为RWX,在执行完命令之后再去sleep又把他改成RW,循环往复,这样在杀软看起来是一块RW内存就不会去扫描。  

 :::就是这样的

那么当今来说他的劣势是什么呢???? 

1.BOF执行导致内存修改无效

我们上面说到了他是Hook了VirtualAlloc的,如果我们用BOF执行whoami呢 ? ??

我们知道他是在本地进行VirtualAlloc的对吧,问题就在这里了,一旦VirtualAlloc之后它的地址就不是我们CS的第三块内存的地址了!!! 这就是一个很致命的问题

我们来演示一下:

首先我们上线一个Beacon,这是没有问题的,这时候我们用Bof去执行一下whoami

也是成功执行,但是问题就来了,我们再去看它的内存地址

他重新分配了一块内存,然后后续的改内存属性都变成了在这块内存而不是在我们的cs真正发挥作用的第三块内存了,我们用ProcessHacker去看看

可以看见我们真正的那块需要被隐藏的地址还是RWX

但是我们刚才执行的命令那块内存确实被改成了RW,但是这块内存也已经被清空了!

可能作者当时写这篇文章的时候,是想着我们都用shell 执行的,并无考虑到我们的BOF存在。

所以我个人看法

  1. 改变Hook的时机,或者说一开始不用VirtualAlloc(虽然好像这个并没有什么作用)
  2. 在VirtualAlloc之后进行Unhook,这样后续不论是shell 还是BOF 执行命令我们都不会出现上面的修改内存无效!

2.可以配合加密

我们上面是对内存进行了动态的RWX ---> RW  --- > RWX 这样的修改,以前的杀软可能会不扫描这块内存,但是现在应该是会了(卡巴会的)! 所以我们可以在触发异常 , sleep 的时候分别对内存进行解密和加密,这样这块内存就 既是RW 又被加密了 ! 

通过这种手法,也是能轻松的免杀火绒的内存扫描的!!!

WanKING~~
关注
从BeaconEye说起,围CS内存特征的检测与规避
dzqxwzoe的博客
08-01 488
2021年8月BeaconEye项目发布,这是一个基于CobaltStrike内存特征进行检测的威胁狩猎工具。BeaconEye具有优秀的检出率与检测效率,使大多数已有规避技术无效化,在网络安全圈内掀起了关于CS内存攻防的新一轮讨论热潮。
红队系列-shellcode AV bypass Evasion免杀合集
aming小老弟
11-13 1454
壳就是软件所增加的保护,并不会破坏里面的程序结构,当我们运行这个加壳的程序时,系统首先会运行程序里的壳,然后由壳将加密的程序逐步还原到内存中,最后运行程序。加壳虽然对于特征码过有非常好的效果,加密壳基本上可以把特征码全部掩盖,但是缺点也非常的明显,因为壳自己也有特征,主流的壳如VMP, Themida等等。客户端上传特征,在云端无法检测到,则上传文件,文件通过杀软系统进行评判,得出总评分,对于无结果的,进行鉴定系统评分,总共得出结果返回给用户,并入云端库。比如可以远程读取png中的shellcode。
基于veh+sleep免杀CS
蛇矛实验室
04-15 1015
这里为一个exe加载CS ShellCode的简单流程,在我们生成ShellCode分为stager和stageless两种,从上图可知最后都会加载beacon.dll这个程序,原始生成出来的shellCode我们很容易处理加密解密,但是ShellCode执行时加载的beacon的ShellCode我们就是很好处理了。Free掉之后会直接掉线并且程序崩溃,我们基本可以确定这是主要的,但是这里并不是真正的beacon的ShellCode,仍是一个主要的检测点,我们目前只针对这里做处理。
Coablt strike官方教程中文译版本
weixin_30701575的博客
03-28 1428
安装和设置 系统要求 Cobalt Strike的最低系统要求   2 GHz +以上的cpu   2 GB RAM   500MB +可用空间 在Amazon的EC2上,至少使用较高核数的CPU(c1.medium,1.7 GB)实例主机。 支持的操作系统 以下系统支持Cobalt Strike Team Server:   Kali Linux 2018.4 - AMD64 ...
cobalt strike中的一些小知识点的理解
热门推荐
Shanfenglan's blog
08-04 35万+
我眼中的beacon与beacon stage/stager beacon指的是受害者与我们的teamserver所建立的这个连接,也可以理解成我们所获的的对方主机的控制权,beacon stage/stager是生成的可执行文件。 什么是stage(stageless)? stage是无阶段的stager,可以直接理解成,stage是stager与它所请求的数据的集合体。stage比stager更安全,但是体积更大。而且在内网穿透的时候基本只能用stage,用stager会十分麻烦,stag.
免杀笔记 --- 无痕Hook?硬件断点 Syscall!
huohaowen的博客
09-26 598
说到Hook,我们有很多Hook,像Inline-Hook,我们也是用的比较多,但是正如我上一篇Blog说的,他会对内存进行修改,如果EDR或者AV增加一个校验机制,不断检验某一块内存,那么就算你用syscall过了Ring3的Hook成功修改了内存也是会被扫描出来的!于是就有了今天的无痕Hook --->硬件断点其实也是小编收到了粉丝的建议,于是赶出来了那个代码,但是这个技术是未公开的,所以小编就不放代码,但是会公布部分,以及一些细节(我也不想这个技术那么快没用,望理解😋)
47.x86游戏实战-VEHHOOK封包函数
计算机王的博客
08-24 475
游戏逆向、游戏安全、游戏攻防、c++、反游戏外挂、保姆级攻略
CTF-RE 笔记汇总
逆向随笔
04-02 2588
做了笔记从来不看系列……丢云端清本地了 文章目录滴水2015-01-12(进制01)2015-01-13(进制01)2015-01-14(数据宽度_逻辑运算)2015-01-15(通用寄存器_内存读写)2015-01-16(内存地址_堆栈)2015-01-19(标志寄存器)2015-01-20(JCC补录)2015-01-23(C语言完整版)2015-01-26 (c语言02_数据类型)2015-02-05 (结构体 字节对齐)2015-02-06 (switch语句反汇编)指针位运算汇编笔记第二章 寄存器
CE-VEH下段崩溃处理.e
02-15
最新 CE VEH下段处理 源码 win7 win110 都测试过了 全部可以正常使用 声明:个别win10不能使用的话 请自己换系统 谢谢
article VEH_operation_Non-LinearControl_DC-DCConverters_matlab_t
09-29
In this paper we use two DC/DC boost-buck converters powered a direct current motor. Theboost converter ensures an energy flux for an ideal operation of the vehicle even in case ofbattery voltage drop...
A-Tutorial-on-Joint-Radar-and-Communication-Transmission-for-Veh
08-21
雷达与通信融合传输技术在车联网中的应用 随着车联网的发展,雷达与通信融合传输技术(DFRC)逐渐受到关注。这种技术可以实现频谱、功率、硬件和成本的高效利用,满足车联网对高速通信和精准防撞感知的需求。...
veh-com-training-sources_training_
09-30
标题“veh-com-training-sources_training_”和描述“veh-com training sources”暗示了这是一个关于车辆通信(Vehicle Communication,veh-com)训练资源的集合,特别是针对车联网(Vehicular Ad-hoc Networks, ...
【护网必备】Windows平台shellcode免杀加载器
Fly_鹏程万里
06-14 356
bypass:McAfee、金山(数字签名)、火绒、ESET、卡巴企业版(时间5s 抖动50 Sleep_mask)、360全家桶(物理机)、Norton(加白程序资源)、WDF(PC)、WDF(Server)、Symantec(加白程序资源)bypass:金山(数字签名)、火绒、ESET、360全家桶(物理机)、WDF(PC)、WDF(服务器提示复查(关云保护))、McAfee、Norton(加白程序资源)、卡巴企业版(时间5s 抖动50 Sleep_mask)必须使用Bof操作,shell运行就掉线。
27-移动机械手轨迹跟踪自适应神经PD控制器 运行所提出的自适应神经控制器的主要脚本是main-Single-ANN和main
最新发布
10-03
27-移动机械手轨迹跟踪自适应神经PD控制器 运行所提出的自适应神经控制器的主要脚本是main_Single_ANN和main_Multilayer_ANN。 比较的控制器在脚本 main_CPID 和 main_PID 中给出。 仿真结果在名为“比较结果”的文件夹中给出。 实际实验的结果在名为“实验结果”的文件夹中给出。 请运行 main.m 脚本以获取以图形和表格形式呈现的结果。 保证成功运行
基于Java语言的IT行业新闻资讯类设计源码
10-03
该项目是一款基于Java语言的新闻资讯类应用程序设计源码,共包含343个文件,其中Java源文件281个,XML配置文件37个,YAML文件18个,FreeMarker模板文件3个,配置工厂文件2个,Git忽略文件1个,以及Dockerfile文件1个。该系统专注于新闻资讯类应用的开发,适用于各类新闻资讯平台的搭建。
基于Java的SaaS短链接管理系统设计源码
10-03
该项目是一款基于Java核心技术的SaaS短链接管理系统源码,总计包含219个文件,涵盖188个Java源文件、14个XML配置文件、11个YAML文件、2个SQL文件、1个.gitignore配置文件、1个Markdown文件、1个Lua脚本和1个HTML文件。该系统致力于为企业和个人用户提供便捷、安全的短链接管理服务,简化长链接操作,并具备强大的数据分析与跟踪功能,包括PV、UV、UUI等关键数据统计,助力用户优化链接管理,提升营销效果和业务成果。
风光储共交流母线制氢模型,光伏,风机采用mppt实现最大功率跟踪;储能采用电压电流双闭环控制;并网采用pq控制,整流采用svpw
10-03
风光储共交流母线制氢模型,光伏,风机采用mppt实现最大功率跟踪;储能采用电压电流双闭环控制;并网采用pq控制,整流采用svpwm调制。 制氢可接pem~碱性电解槽。
veh_version=2002; % version of ADVISOR for which the file was generated veh_proprietary=0; % 0=> non-proprietary, 1=> proprietary, do not distribute veh_validation=0; % 0=> no validation, 1=> data agrees with source data,
05-12
2=> data matches source data except for minor deviation(s) veh_description='Sample vehicle file for ADVISOR'; % one line description of the vehicle veh_mfr='Generic'; % manufacturer's name veh_model='Sample Vehicle'; % vehicle model name veh_class='Small Car'; % EPA size class veh_year=2002; % model year veh_cold_tmp=20; % Cold engine temperature (C) veh_warm_tmp=95; % Warm engine temperature (C) veh_hot_tmp=105; % Hot engine temperature (C) veh_emis=[0 0 0 0 0 0 0 0 0 0]; % Vector of emissions index (g/mi) [HC CO NOx PM H2O N2O CO2 CH4 NMHC] veh_glider_mass=1000; % Vehicle mass w/o propulsion system (kg) veh_CD=0.32; % Coefficient of aerodynamic drag veh_FA=1.9; % Vehicle frontal area (m^2) veh_starter='Integr'; % Starter type ('Integr' or 'Standalone') veh_idle_spd=700; % Idle speed (rpm) veh_cargo_mass=0; % Cargo mass (kg) veh_passenger_mass=[75 0]; % Passenger mass (kg/person) [driver, passenger] veh_wheelbase=2.5; % Vehicle wheelbase (m) veh_track=1.5; % Vehicle track (m) veh_cargo_cp=[0 0.5 0]; % Cargo center of gravity (m) [X Y Z] veh_passenger_cp=[0.5 0.5 0]; % Passenger center of gravity (m) [X Y Z] veh_front_wt_frac=0.6; % Fraction of vehicle weight on front axle veh_rear_wt_frac=0.4; % Fraction of vehicle weight on rear axle veh_wheel_front_radius=0.3; % Front wheel radius (m) veh_wheel_rear_radius=0.3; % Rear wheel radius (m) veh_gear_ratio=[2.4 1.5 1 0.7 0.5]; % Gear ratios veh_gb_eff=[0.95 0.95 0.95 0.95 0.95]; % Gearbox efficiency veh_final_drive_ratio=3.5; % Final drive ratio veh_fd_eff=0.95; % Final drive efficiency veh_inertia=0; % Vehicle rotational inertia (kg-m^2) veh_acc_grade=0; % Vehicle acceleration grade (deg) veh_max_grade=10; % Maximum grade (deg) veh_road_load=[100 0 0 0]; % Road load coefficients [a b c d] (N) at 100 kph veh_tire='205/55R16'; % Tire size (example: '205/60R15') veh_num_of_pax=1; % Number of passengers in the vehicle veh_fuel_type='Gasoline'; % Fuel type (example: 'Diesel', 'Gasoline', 'Hybrid') veh_fuel_den=0.749; % Fuel density (kg/l) veh_fuel_lhv=43.0; % Fuel lower heating value (MJ/kg) veh_fuel_frac=[0.85 0.15 0 0 0 0 0 0 0 0]; % Fuel composition [C H O N S AR CO2 H2O N2 O2] (mass fraction) veh_fuel_tank=60; % Fuel tank capacity (l) veh_mech_brake=1; % Mechanical braking system (1=>yes, 0=>no) veh_regenerative_braking=1; % Regenerative braking system (1=>yes, 0=>no) veh_coolant_fluid='water'; % Engine coolant fluid type (example: 'water', 'ethylene glycol') veh_coolant_cap=3; % Engine coolant capacity (l) veh_oil_cap=4.3; % Engine oil capacity (l) veh_oil_type='SAE 5W-30'; % Engine oil type (example: 'SAE 5W-30') veh_oil_fluid='oil'; % Engine oil fluid type (example: 'oil', 'synth oil') veh_trans_fluid='oil'; % Transmission fluid type (example: 'oil', 'synth oil') veh_trans_cap=2.5; % Transmission fluid capacity (l) veh_clutch_type='Dry'; % Clutch type (example: 'Dry', 'Wet') veh_regen_brake_type='Electric'; % Regenerative braking type (example: 'Electric', 'Hydraulic')
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值